جاري التحميل
📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. ترقّ الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 2h Global malware الطاقة والمرافق CRITICAL 2h Global ransomware قطاعات متعددة CRITICAL 3h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 5h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 6h Global insider خدمات الأمن السيبراني CRITICAL 6h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 7h Global malware تكنولوجيا والخدمات السحابية HIGH 7h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 2h Global malware الطاقة والمرافق CRITICAL 2h Global ransomware قطاعات متعددة CRITICAL 3h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 5h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 6h Global insider خدمات الأمن السيبراني CRITICAL 6h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 7h Global malware تكنولوجيا والخدمات السحابية HIGH 7h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 2h Global malware الطاقة والمرافق CRITICAL 2h Global ransomware قطاعات متعددة CRITICAL 3h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 5h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 6h Global insider خدمات الأمن السيبراني CRITICAL 6h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 7h Global malware تكنولوجيا والخدمات السحابية HIGH 7h
الثغرات

CVE-2019-0797

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح
Microsoft Win32k Privilege Escalation Vulnerability — Microsoft Win32k contains a privilege escalation vulnerability when the Win32k component fails to properly handle objects in memory. Successful ex
نُشر: Nov 3, 2021  ·  المصدر: CISA_KEV
CVSS v3
9.0
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Microsoft Win32k Privilege Escalation Vulnerability — Microsoft Win32k contains a privilege escalation vulnerability when the Win32k component fails to properly handle objects in memory. Successful exploitation allows an attacker to execute code in kernel mode.

🤖 ملخص AI

CVE-2019-0797 is a critical privilege escalation vulnerability in the Microsoft Win32k kernel component that allows attackers to execute arbitrary code in kernel mode. The flaw arises from improper memory object handling, enabling local attackers to elevate privileges to SYSTEM level. This vulnerability has been actively exploited in the wild, with confirmed exploit code available, making it a high-priority patching target. Organizations running unpatched Windows systems face significant risk of complete system compromise following initial access.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 13:40
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses a severe risk to Saudi organizations across all critical sectors. Government entities under NCA oversight and ARAMCO/energy sector systems running Windows infrastructure are at heightened risk, as kernel-level exploitation can bypass all endpoint controls. SAMA-regulated banking institutions (Saudi National Bank, Al Rajhi, Riyad Bank) face risk of complete workstation and server compromise enabling lateral movement and data exfiltration. Healthcare organizations under MOH and telecom providers like STC and Mobily are equally exposed. Given that this vulnerability has been weaponized by APT groups (including Lazarus and FruityArmor), Saudi critical infrastructure — already a high-value target for nation-state actors — faces elevated threat. The exploit enables attackers who have achieved initial access (via phishing or web exploitation) to immediately escalate to SYSTEM privileges, bypassing UAC and endpoint detection tools.
🏢 القطاعات السعودية المتأثرة
Government Banking Energy Healthcare Telecom Defense Transportation Education
⚖️ درجة المخاطر السعودية (AI)
9.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS (0-24 hours):

1. Apply Microsoft Security Update KB4489882 (March 2019 Patch Tuesday) immediately across all Windows endpoints and servers.

2. Prioritize patching of internet-facing systems, privileged workstations, and domain controllers.

3. Isolate any systems showing signs of exploitation (unexpected SYSTEM-level processes, anomalous kernel activity).



PATCHING GUIDANCE:

4. Deploy patches via WSUS/SCCM/Intune for enterprise environments.

5. Verify patch installation: check for KB4489882 or later cumulative updates in Windows Update history.

6. Patch all supported Windows versions: Windows 7, 8.1, 10, Server 2008 R2, 2012, 2012 R2, 2016, 2019.



COMPENSATING CONTROLS (if patching is delayed):

7. Restrict local logon access to sensitive systems — enforce least privilege and remove unnecessary local admin rights.

8. Deploy application whitelisting (AppLocker/WDAC) to prevent execution of unknown exploit payloads.

9. Enable Windows Defender Exploit Guard and Attack Surface Reduction (ASR) rules.

10. Monitor for suspicious Win32k.sys calls and privilege escalation patterns via EDR solutions.



DETECTION RULES:

11. SIEM alert: Monitor for processes spawning with SYSTEM privileges from non-SYSTEM parent processes.

12. EDR rule: Alert on unexpected kernel-mode code execution or Win32k memory manipulation.

13. Sigma rule: Detect NtUserSetWindowLongPtr or related Win32k syscall anomalies.

14. Review Windows Event Logs for Event ID 4672 (Special Logon) and 4688 (Process Creation) anomalies.
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية (خلال 0-24 ساعة):

1. تطبيق تحديث الأمان KB4489882 من Microsoft (تحديثات مارس 2019) فوراً على جميع نقاط النهاية والخوادم.

2. إعطاء الأولوية لتصحيح الأنظمة المكشوفة على الإنترنت ومحطات العمل ذات الامتيازات وأجهزة التحكم بالنطاق.

3. عزل أي أنظمة تُظهر علامات الاستغلال.



إرشادات التصحيح:

4. نشر التحديثات عبر WSUS/SCCM/Intune في البيئات المؤسسية.

5. التحقق من تثبيت التحديث عبر فحص سجل Windows Update.

6. تصحيح جميع إصدارات Windows المدعومة المتأثرة.



ضوابط التعويض (في حال تأخر التصحيح):

7. تقييد صلاحيات تسجيل الدخول المحلي وتطبيق مبدأ الحد الأدنى من الامتيازات.

8. نشر قوائم السماح للتطبيقات (AppLocker/WDAC).

9. تفعيل Windows Defender Exploit Guard وقواعد تقليل سطح الهجوم.

10. مراقبة استدعاءات Win32k.sys المشبوهة وأنماط رفع الامتيازات.



قواعد الكشف:

11. تنبيه SIEM: مراقبة العمليات التي تنشأ بصلاحيات SYSTEM من عمليات أصل غير SYSTEM.

12. قاعدة EDR: التنبيه على تنفيذ كود غير متوقع في وضع النواة.

13. مراجعة سجلات Windows للأحداث 4672 و4688.
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC-1-4-2: Patch Management and Vulnerability Management ECC-2-3-1: Endpoint Security Controls ECC-2-5-1: Privileged Access Management ECC-3-3-3: Security Monitoring and Logging ECC-1-3-6: Asset Management and Configuration Control
🔵 SAMA CSF
3.3.6 - Vulnerability Management 3.3.7 - Patch Management 3.4.2 - Endpoint Protection 3.5.1 - Identity and Access Management 3.6.1 - Security Monitoring
🟡 ISO 27001:2022
A.8.8 - Management of Technical Vulnerabilities A.8.7 - Protection Against Malware A.8.15 - Logging A.5.15 - Access Control A.8.9 - Configuration Management
🟣 PCI DSS v4.0
Requirement 6.3.3 - All system components are protected from known vulnerabilities by installing applicable security patches Requirement 7.2 - Access to system components is appropriately defined and assigned Requirement 10.2 - Audit logs capture all individual user access to cardholder data
🔗 المراجع والمصادر 0
لا توجد مراجع.
📦 المنتجات المتأثرة 1 منتج
Microsoft:Win32k
📊 CVSS Score
9.0
/ 10.0 — حرج
📋 حقائق سريعة
الخطورة حرج
CVSS Score9.0
EPSS6.09%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
CISA KEV🇺🇸 Yes
تاريخ الإصلاح2022-05-03
تاريخ النشر 2021-11-03
المصدر cisa_kev
المشاهدات 3
🇸🇦 درجة المخاطر السعودية
9.2
/ 10.0 — مخاطر السعودية
🏷️ الوسوم
kev actively-exploited
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.